[置顶]kubernetes1.7新特性:日志审计变化
1、下面的例子是日志审计策略配置文件的配置信息,表示按照Metadata级别记录所有请求信息:rules:
- level: Metadata
2、下面的例子是日志审计策略配置文件的配置信息,表示不对用户system:kube-proxy在endpoints和services两种类型资源上的信息进行审计。
rules: - level: None
users:["system:kube-proxy"]
verbs: ["watch"]
resources:
- group: "" #core API group
resources:["endpoints", "services"]
3、下面的例子是日志审计策略配置文件的配置信息,表示审计表空间kube-system中configmaps资源类型的请求。
rules: # Log the request body ofconfigmap changes in kube-system.
- level: Request
resources:
- group: "" #core API group
resources:["configmaps"]
# This rule only appliesto resources in the "kube-system" namespace.
# The empty string"" can be used to select non-namespaced resources.
namespaces:["kube-system"]
4、下面的例子是设置审计处理方式
--audit-webhook-config-file=/etc/kubernetes/audit-webhook-kubeconfig
--audit-webhook-mode=batch
使用batch模式,向/etc/kubernetes/audit-webhook-kubeconfig文件中配置的服务端发送日志审计信息。
页:
[1]